シスコサポートコミュニティ
キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 

ASA: LACPの設定例と動作確認

 

EtherChannelについて

ASA バージョン8.4(1)より EtherChannelのサポートが可能となりました。EtherChannel技術を用い、複数の物理リンクを 1つの論理リンクに集約する事で、リンクの冗長化と 帯域幅増強を同時に実現します。

本ドキュメントでは、チャネルプロトコルの1つである LACPの 設定例と動作確認例を紹介します。

本ドキュメントは、ASAバージョン 9.1(7)6を用いて確認、作成しております。

   

   

LACP設定例

以下は、ASAと Catalyst6500間を、LACP Activeモードで接続時の設定例です。

   
【ASA側 設定】

interface GigabitEthernet0/1
channel-group 1 mode active
no nameif
no security-level
no ip address
!
interface GigabitEthernet0/3
channel-group 1 mode active
no nameif
no security-level
no ip address
!
interface Port-channel1
nameif dmz
security-level 30
ip address 192.168.100.254 255.255.255.0
!

   
【Cat6500側 設定】

interface Port-channel1
description ** to ASA5515 **
switchport
switchport access vlan 100
switchport mode access
!
interface GigabitEthernet3/19
description ** to ASA5515-Gi0/1 **
switchport
switchport access vlan 100
switchport mode access
channel-group 1 mode active
!
interface GigabitEthernet3/35
description ** to ASA5515-Gi0/3 **
switchport
switchport access vlan 100
switchport mode access
channel-group 1 mode active
!

   

    

動作確認

チャネル接続状態のサマリ表示

show port-channel summary コマンドで 各チャネルの状態の簡易確認ができます。 素早い状態確認に有用です。

ciscoasa# show port-channel summary
Flags: D - down P - bundled in port-channel
I - stand-alone s - suspended
H - Hot-standby (LACP only)
U - in use N - not in use, no aggregation/nameif
M - not in use, no aggregation due to minimum links not met
w - waiting to be aggregated
Number of channel-groups in use: 1
Group Port-channel Protocol Span-cluster Ports
------+-------------+---------+------------+------------------------------------
1 Po1(U) LACP No Gi0/1(P) Gi0/3(P)

   

チャネル接続状態の詳細表示

show port-channel detail コマンドで、ロードバランシング アルゴリズムや、自身と対向のLACP Priorityを含む、各チャネルと所属リンクの、より詳細な情報を出力します。

ciscoasa# show port-channel detail
Channel-group listing:
-----------------------

Group: 1
----------
Span-cluster port-channel: No
Ports: 2 Maxports = 16
Port-channels: 1 Max Port-channels = 48
Protocol: LACP/ active
Minimum Links: 1
Maximum Bundle: 8
Load balance: src-dst-ip
Ports in the group:
-------------------
Port: Gi0/1
------------
Port state = bndl
Channel group = 1 Mode = LACP/ active
Port-channel = Po1

Flags: S - Device is sending Slow LACPDUs F - Device is sending fast LACPDUs.
A - Device is in active mode. P - Device is in passive mode.

Local information:
LACP port Admin Oper Port Port
Port Flags State Priority Key Key Number State
-----------------------------------------------------------------------------
Gi0/1 SA bndl 32768 0x1 0x1 0x2 0x3d

Partner's information:
Partner Partner LACP Partner Partner Partner Partner Partner
Port Flags State Port Priority Admin Key Oper Key Port Number Port State
-----------------------------------------------------------------------------------
Gi0/1 SA bndl 32768 0x0 0x1 0x314 0x3d

Port: Gi0/3
------------
Port state = bndl
Channel group = 1 Mode = LACP/ active
Port-channel = Po1

Flags: S - Device is sending Slow LACPDUs F - Device is sending fast LACPDUs.
A - Device is in active mode. P - Device is in passive mode.

Local information:
  LACP port Admin Oper Port Port
Port Flags State Priority Key Key Number State
-----------------------------------------------------------------------------
Gi0/3 SA bndl 32768 0x1 0x1 0x4 0x3d

Partner's information:
Partner Partner LACP Partner Partner Partner Partner Partner
Port Flags State Port Priority Admin Key Oper Key Port Number Port State
-----------------------------------------------------------------------------------
Gi0/3 SA bndl 32768 0x0 0x1 0x324 0x3d

   
なお、ロードバランシング アルゴリズムのデフォルトは、src-dst-ip(=送信元/宛先IPベース)です。

当アルゴリズムは、port-channel load-balance コマンドで 変更可能です。 以下は Port-channel 1の ロードバランシング アルゴリズムを、src-dst-mac(=送信元/宛先MACベース)に変更時の設定例です。

ciscoasa(config)# interface port-channel 1
ciscoasa(config-if)# port-channel load-balance ?

interface mode commands/options:
dst-ip Dst IP Addr
dst-ip-port Dst IP Addr and TCP/UDP Port
dst-mac Dst Mac Addr
dst-port Dst TCP/UDP Port
src-dst-ip Src XOR Dst IP Addr
src-dst-ip-port Src XOR Dst IP Addr and TCP/UDP Port
src-dst-mac Src XOR Dst Mac Addr
src-dst-port Src XOR Dst TCP/UDP Port
src-ip Src IP Addr
src-ip-port Src IP Addr and TCP/UDP Port
src-mac Src Mac Addr
src-port Src TCP/UDP Port
vlan-dst-ip Vlan, Dst IP Addr
vlan-dst-ip-port Vlan, Dst IP Addr and TCP/UDP Port
vlan-only Vlan
vlan-src-dst-ip Vlan, Src XOR Dst IP Addr
vlan-src-dst-ip-port Vlan, Src XOR Dst IP Addr and TCP/UDP Port
vlan-src-ip Vlan, Src IP Addr
vlan-src-ip-port Vlan, Src IP Addr and TCP/UDP Port

ciscoasa(config-if)# port-channel load-balance src-dst-mac

    

LACPパケットの交換状況の表示

show lacp counters コマンドで、LACPパケットの交換状況のカウンタ確認ができます。何らかのLACPパケットやり取りの問題が疑われる場合は、当コマンドを複数回実行し、交換状況の差分を確認してください。

ciscoasa# show lacp counter

LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
Channel group: 1
Gi0/1 2719 2712 0 0 0 0 0
Gi0/3 2723 2715 0 0 0 0 0

    

ポートチャネルインターフェイスの統計情報の表示

show interface port-channel <int-num> コマンドを実行します。

ciscoasa# show interface port-channel 1
Interface Port-channel1 "dmz", is up, line protocol is up
Hardware is EtherChannel/LACP, BW 2000 Mbps, DLY 10 usec
Auto-Duplex(Full-duplex), Auto-Speed(1000 Mbps)
Input flow control is unsupported, output flow control is off
MAC address 5057.a8e1.a502, MTU 1500
IP address 192.168.100.254, subnet mask 255.255.255.0
Traffic Statistics for "dmz":
157839 packets input, 12977967 bytes
62097 packets output, 6205476 bytes
95712 packets dropped
1 minute input rate 682 pkts/sec, 68262 bytes/sec
1 minute output rate 682 pkts/sec, 68207 bytes/sec
1 minute drop rate, 0 pkts/sec
5 minute input rate 25 pkts/sec, 2501 bytes/sec
5 minute output rate 24 pkts/sec, 2438 bytes/sec
5 minute drop rate, 0 pkts/sec
Members in this channel:
Active: Gi0/1 Gi0/3

   

    

その他 制限事項

  • 物理リンクの負荷分散は、指定のロードバランシング アルゴリズム(デフォルト=src-dst-ip)に基づいて行われます。 仮に所属リンクがダウンした場合、スタンバイリンクが無い場合、トラフィックは残りのリンク内で再バランスされます
        
  • チャネルに所属する物理リンクは、全て同じSpeed・Duplexである必要があります
       
  • 所属リンクがUP時に チャネルリンクもUPし、最後のリンクがDownした場合に チャネルリンクもDownとみなします。 なお、チャネルリンクをActiveとみなすための Activeリンク数は port-channel min-bundle <最少リンク数> コマンドで変更可能です。 デフォルトの最少リンク数は 1です
        
  • チャネルは あくまで物理リンクレベルでの帯域幅増強である事に注意してください。 チャネルを利用しても、ASAの処理性能(主にCPUや設定と通信パターンが影響)を上回る速度は出ません。 例えば、処理性能が 900Mbps程度のASAで、1Gリンク x 2のチャネルを利用しても、900Mbps以上の速度は出ません。 むしろ、チャネル処理が必要となる分、オーバーヘッドが増加します
        
  • 帯域幅増強が不要で 物理リンクの冗長化のみが目的の場合、EtherChannelの代わりに、Redundant Interface機能も選択できます
      

   

    

参考情報

ASA9.1: インターフェイス コンフィギュレーションの開始(ASA 5510 以降)
http://www.cisco.com/cisco/web/support/JP/docs/SEC/Firewall/ASA5500NextGenerationFire/CG/001/interface_start.html?bid=0900e4b183271d68#pgfId-1329030

ファイアウォール トラブルシューティング
https://supportforums.cisco.com/ja/document/12725841

  • タグ付けされた記事をさらに検索:
2811
閲覧回数
0
いいね!
0
コメント